keyboard_tab Cyber Resilience Act 2023/2841 CS
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Článek 4 Zpracování osobních údajů
- 1 Článek 17 Spolupráce CERT-EU s protějšky v členských státech
- 1 Článek 20 Ujednání o sdílení informací o kybernetické bezpečnosti
KAPITOLA I
OBECNÁ USTANOVENÍ
KAPITOLA II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
KAPITOLA III
INTERINSTITUCIONÁLNÍ VÝBOR PRO KYBERNETICKOU BEZPEČNOST
KAPITOLA IV
CERT-EU
KAPITOLA V
POVINNOSTI V OBLASTI SPOLUPRÁCE A OZNAMOVACÍ POVINNOSTI
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
- unie 23
- cert-eu 19
- podle 17
- článku 12
- informace 10
- nebo 10
- informací 9
- subjekt 9
- údajů 8
- které 7
- incidentu 7
- incidentů 7
- osobních 6
- dotčený 5
- kybernetických 5
- subjektu 5
- nařízení 5
- eu / 5
- kybernetické 4
- bezpečnosti 4
- odst 4
- zpracování 4
- subjekty 4
- pouze 4
- sdílení 4
- opatření 4
- tohoto 4
- jejich 4
- oznámení 4
- rozhodnutí 3
- odkladu 3
- směrnice 3
- Článek 3
- může 3
- při 3
- týkající 3
- odhalují 3
- totožnost 3
- pokud 3
- svůj 3
- souhlas 3
- před 3
- vedoucí 3
- mohou 3
- zbytečného 3
- povinnosti 3
- v souladu 3
- hrozeb 2
- státech 2
- pokud 2
Článek 4
Zpracování osobních údajů
1. Zpracování osobních údajů podle tohoto nařízení CERT-EU, Interinstitucionálním výborem pro kybernetickou bezpečnost zřízeným podle článku 10 a subjekty Unie se provádí v souladu s nařízením (EU) 2018/1725.
2. Pokud CERT-EU, interinstitucionální výbor pro kybernetickou bezpečnost zřízený podle článku 10 a subjekty Unie plní úkoly nebo povinnosti podle tohoto nařízení, zpracovávají a vyměňují si osobní údaje pouze v nezbytném rozsahu a výhradně za účelem plnění těchto úkolů nebo povinností.
3. Zpracování zvláštních kategorií osobních údajů uvedených v čl. 10 odst. 1 nařízení (EU) 2018/1725 se považuje za nezbytné z důvodů významného veřejného zájmu podle čl. 10 odst. 2 písm. g) uvedeného nařízení. Takové údaje mohou být zpracovávány pouze v rozsahu nezbytném pro provádění opatření k řízení kybernetických bezpečnostních rizik uvedených v článcích 6 a 8, pro poskytování služeb CERT-EU podle článku 13, pro sdílení informací o konkrétních incidentech podle čl. 17 odst. 3 a čl. 18 odst. 3, pro sdílení informací podle článku 20, pro oznamovací povinnosti podle článku 21, pro koordinaci a spolupráci v rámci reakce na incident podle článku 22 a pro řízení závažných incidentů podle článku 23 tohoto nařízení. Jednají-li subjekty Unie a CERT-EU v postavení správce údajů, uplatňují technická opatření zabraňující zpracování zvláštních kategorií osobních údajů pro jiné účely a stanoví vhodná a konkrétní opatření na ochranu základních práv a zájmů subjektů údajů.
KAPITOLA II
OPATŘENÍ K ZAJIŠTĚNÍ VYSOKÉ SPOLEČNÉ ÚROVNĚ KYBERNETICKÉ BEZPEČNOSTI
Článek 17
Spolupráce CERT-EU s protějšky v členských státech
1. CERT-EU bez zbytečného odkladu spolupracuje s protějšky z členských států, zejména týmy CSIRT určenými nebo zřízenými podle článku 10 směrnice (EU) 2022/2555, nebo případně s příslušnými orgány a jednotnými kontaktními místy určenými nebo zřízenými podle článku 8 uvedené směrnice a vyměňuje si s nimi informace ohledně incidentů, kybernetických hrozeb, zranitelností, významných událostí, možných protiopatření, jakož i o osvědčených postupech, a o veškerých záležitostech, které mají význam pro zlepšení ochrany prostředí IKT subjektů Unie, a to i prostřednictvím sítě týmů CSIRT zřízené podle článku 15 směrnice (EU) 2022/2555. CERT-EU podporuje Komisi v rámci sítě EU-CyCLONe zřízené podle článku 16 o koordinovaném řešení rozsáhlých kybernetických bezpečnostních incidentů a krizí ve směrnici (EU) 2022/2555.
2. Pokud se CERT-EU dozví o významném incidentu, k němuž dojde na území členského státu, neprodleně informuje všechny příslušné protějšky v daném členském státě v souladu s odstavcem 1.
3. Je-li v souladu s právem Unie na ochranu osobních údajů zajištěna ochrana osobních údajů, CERT-EU si s vnitrostátními protějšky v členských státech bez zbytečného odkladu vymění příslušné informace týkající se konkrétních incidentů, které mohou usnadnit odhalování obdobných kybernetických hrozeb nebo incidentů nebo přispět k analýze incidentu, a to bez povolení dotčeného subjektu Unie. CERT-EU vyměňuje informace týkající se konkrétních incidentů, které odhalují totožnost cíle kybernetického bezpečnostního incidentu, pouze pokud nastane některý u z těchto případů:
| a) | dotčený subjekt Unie udělil svůj souhlas; |
| b) | dotčený subjekt Unie neudělil svůj souhlas, jak je stanoveno v písmenu a), ale zveřejnění totožnosti dotčeného subjektu Unie by zvýšilo pravděpodobnost, že se zabrání incidentům v jiných oblastech nebo se zmírní jejich následky; |
| c) | dotčený subjekt Unie již zveřejnil, že byl obětí incidentu. |
Rozhodnutí o výměně informací týkajících se konkrétního incidentu, které odhalují totožnost cíle incidentu podle prvního pododstavce písm. b), schvaluje vedoucí CERT-EU. Před vydáním takového rozhodnutí kontaktuje CERT-EU dotčený subjekt Unie písemně a jasně vysvětlí, jak by zveřejnění jeho totožnosti pomohlo zabránit incidentům v jiných oblastech nebo je zmírnit. Vedoucí CERT-EU poskytne vysvětlení a výslovně požádá subjekt Unie, aby ve stanovené lhůtě uvedl, zda souhlasí. Vedoucí CERT-EU rovněž informuje subjekt Unie o tom, že si s ohledem na poskytnuté vysvětlení vyhrazuje právo informace zveřejnit i bez souhlasu. Dotčený subjekt Unie je informován před zveřejněním informací.
Článek 20
Ujednání o sdílení informací o kybernetické bezpečnosti
1. Subjekty Unie mohou dobrovolně oznamovat CERT-EU incidenty, kybernetické hrozby, významné události a zranitelnosti, které se jich týkají, a poskytovat o nich informace. CERT-EU zajistí, aby v zájmu usnadnění sdílení informací se subjekty Unie byly k dispozici účinné komunikační prostředky s vysokou úrovní sledovatelnosti, důvěrnosti a spolehlivosti. Při zpracování oznámení může CERT-EU upřednostnit zpracování povinných oznámení před dobrovolnými oznámeními. Aniž je dotčen článek 12, při dobrovolném oznámení nemohou být oznamujícímu subjektu Unie uloženy žádné další povinnosti než ty, které by mu byly uloženy, kdyby toto oznámení neučinil.
2. K plnění svého poslání a úkolů svěřených podle článku 13 může CERT-EU požádat subjekty Unie o poskytnutí informací z příslušných soupisů jejich systémů IKT, včetně informací o kybernetických hrozbách, významných událostech, zranitelnostech, indikátorech narušení, varováních při ohrožení kybernetické bezpečnosti a doporučeních týkajících se konfigurace nástrojů kybernetické bezpečnosti určených k odhalování kybernetických incidentů. Dožádaný subjekt Unie bez zbytečného odkladu předá požadované informace a všechny jejich následné aktualizace.
3. CERT-EU si může se subjekty Unie vyměňovat informace týkající se konkrétního incidentu, které odhalují totožnost subjektu Unie, jehož se incident týká, pouze se souhlasem tohoto subjektu. Pokud subjekt Unie odmítne udělit svůj souhlas, poskytne CERT-EU důvody svého rozhodnutí.
4. Subjekty Unie na požádání sdílejí s Evropským parlamentem a Radou informace o dokončení plánů kybernetické bezpečnosti.
5. Výbor IICB nebo případně CERT-EU na požádání sdílí s Evropským parlamentem a Radou pokyny, doporučení a výzvy k přijetí opatření.
6. Povinnosti související se sdílením informací stanovené v tomto článku se nevztahují na:
| a) | utajované informace EU; |
| b) | informace, jejichž další šíření bylo vyloučeno viditelným označením, pokud jejich sdílení se CERT-EU nebylo výslovně povoleno.. |
whereas